Странная сетевая активность (не понятен процесс)

[NeLeGal]

Периодически всплывает неизвестный процесс (N/A), с сетевой активностью которого, успешно борется Outpost
Ниже краткий список (не полный) удаленных ай-пи и портов по которым данный процесс пытается "достучаться"

70.66.17.174:1231
70.66.17.174:1105
83.9.138.80:54238
83.9.138.80:16742
122.126.97.150:3706
122.126.97.150:3520
122.126.111.179:3988
122.126.111.179:3772
122.126.96.238:4760
122.126.96.238:4608
122.126.234.67:3078
122.126.234.67:2848
122.126.100.192:4898
122.126.100.192:4656
193.194.87.131:32539



Немного ранее на моем компе поселился руткит с подобными симптомами но гораздо более активный и благодаря информации, полученной на этом форуме, с той заразой справился легко... это случилось примерно месяц назад.
А всего лишь неделю назад по некоторым причинам, не относящимся к безопасности, было принято решение переустановить систему, машинка можно сказать "чистая" из свежего, "не проверенного" софта только Outpost, KAV и Office более свежих версий, все остальное проверенно "годами"
Обновленные KAV7, AVZ и cureit ничего "особенного" на их и мой взгляд не обнаружили...

[Muzzle]

уберите virusinfo_cure.zip нужен virusinfo_syscure.zip!!

[NeLeGal]

Muzzle, странно, все делал по инструкции, AVZ сгенерировал почему-то именно virusinfo_cure.zip. Дважды пытался удалить, управление вложениями доступно, но после клика на "удалить" получаю...

NeLeGal, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:

Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.

[Muzzle]

8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip

а старое вложение уберут модераторы.

[NeLeGal]

Muzzle, не поверите, только что перегрузил компьютер, выгрузил фаервол c антивирусом, выполнил 8 пункт правил, в точности как в приведенной Вами цитате.... по-прежнему никаких virusinfo_syscure.zip не наблюдаю, только virusinfo_cure.zip

Добавлено через 12 минут

заметил что AVZ в логах во время выполненя этого скрипта сообщает об "Ошибке в работе антируткита"
Завтра скачаю на "свежую" голову АVZ, мож утилита подпорчена...

Добавлено через 8 часов 18 минут

Скачал еще раз и обновил AVZ
Попробовал выполнить пункт 8 правил на другом компьютере. В результате утилита сгенерировала 4 файла...
virusinfo_syscure.htm
virusinfo_syscure.xml
virusinfo_syscure.zip
virusinfo_cure.zip
т.е. работает...
На "исследуемом" же компьютере, из-за которого вынужден был открыть данный топик, по прежнему, генерируется только virusinfo_cure.zip, да и тот битый архив. Ума не приложу почему так...

[PavelA]

Выполни этот же скрипт На "исследуемом" в защищ. режиме.

Плюс там же сделай:http://virusinfo.info/showthread.php?t=10387

Добавлено через 3 минуты

Это вот первый айпишник:
Asia Pacific Network Information Centre
PO Box 2131
Milton, QLD
AU
Что-то родное видишь? Ежели нет, то точно зверь живет.

[NeLeGal]

PavelA
Выполнил все рекомендованные инструкции в защищенном режиме
Результат работы AVZ прилагаю...
Доменные имена пытался "пробить" первым делом, из трех выборочно взятых ай-пи-шников. Предполагая, что по домменому имени смогу определить легальный ли это софт. Но информация о хостере мне пока ничего не дает... видимо опыта маловато, а пока ничего "родного и близкого".
Подозреваю, что полноценную работу AVZ не позволяет выполнить или KAV или Outpost. Не смотря на то, что сразу после перезагрузки выгружаю KAV и приостанавливаю службу брандмауэра, некоторые процессы этих приложений остаются загруженными в памяти и не позволяют себя приостановить в диспетчере задач. Так же пытался отключить эту парочку в автозагрузке, но те же самые модули, все равно подгружаются и крепко "сидят" резидентно не позволяя себя выгрузить разве что их нет в трее и работают в как бы в режиме самозащиты.
AVZ, видимо, не способен их приостановить или обойти.

[V_Bond]

выполните скрипт...

Код:

begin
SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrbsdrv.sys','');
 BC_ImportQuarantineList;
 BC_QrSvc('cdrbsdrv');
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил...

[NeLeGal]

V_Bond
скрипт выполнил в безопасном режиме, иначе AVZ сообщает в логах -"Ошибка в работе антируткита [Out of memory], шаг [11]" после подвисает и комп не ребудится.
Файл отправил согласно правил...

[rubin]

Файлик похоже чистый

[NeLeGal]

Немного о проблеме и причинах, из-за которых полноценная работа антируткита утилиты AVZ, не удавалась.
Причиной этому являлся Outpost версии 4.0.1025.7828 (700) (доступен для скачивания на офф.сайте).
Во время выполнения некоторых стандартных скриптов AVZ в логах сообщает "Ошибка в работе антируткита [Range check error], шаг [11]" в результате чего не генерируются необходимые файлы отчета.
Отключение автозагрузки и всех надстроек бранмауэра не помогают
Откат на версию Outpost Firewall Pro ver. 3.5.641.6214 (458 ) – работа AVZ успешна
Outpost Firewall Pro 2008 версии 6.0.2168.211.0415 – так же без проблем.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены